Subido por Paola Cueva

API6 OWASP Unrestricted Access to Sensitive Business Flows

Anuncio
API6: 2023 OWASP
Acceso no restringido a
Flujos de Negocio Sensibles
Unrestricted Access to
Sensitive Business
Flows
¿Porqué esta vulnerabilidad?
API OWASP 2021
UBICACIÓN 10
API OWASP 2023
Ranking OWASP TOP 10
MONITOREO Y REGISTRO
INSUFICIENTE
UBICACIÓN 6
ACCESO RESTRINGIDO A FLUJO DE
NEGOCIO SENSIBLES
Las APIs vulnerables a este riesgo exponen flujos de negocios, por ejemplo:
Compra de boletos
Publicación de comentarios
Stock de inventarios, etc.
Sin considerar como la funcionalidad podría perjudicar al negocio si se utiliza de
manera excesiva por medio de procesos automatizados.
¿Cómo actúa el atacante?
¿Qué es un flujo y una amenaza automatizada?
“Un flujo es una serie de solicitudes y respuestas que llevan a una operación”
ABUSO – AMENAZA AUTOMATIZADA
Limitar accesos a usuarios legítimos, spam para otros usuarios y agotando recursos
como parte del flujo de negocios. Por ejemplo falta de stock de inventarios,
agotando venta de entradas en línea, etc.
Las amenazas automatizadas son ataques maliciosos que no son realizados por humanos
quienes interactúan con una aplicación web o móvil, sino son efectuados por: Bots, scripts o
herramientas de hackers, las cuales aprovechan las vulnerabilidades de las APIs
Como actúa el atacante
ANUNCIO: Gira “México Lindo y Querido” del grupo MANÁ – Abril 2024
Apertura de venta: Septiembre 2023 15:00
Compra
todas las
entradas
manatour2024.com
Otros ejemplos
PROBLEMA 2:
PROBLEMA 3:
Publicaciones masivas de comentarios
automatizados en una plataforma de redes
sociales, afectando la experiencia del
usuario y la calidad del contenido
Automatización de consultas masivas en
un servicio de búsqueda, sobrecargando el
servidor y degradando su rendimiento
RECOMENDACIONES:
• Implementar
mecanismos
de
detección de spam y moderación de
contenido
• Utilizar sistema de aprendizaje
automático para identificar y bloquear
publicaciones
de
comentarios
automatizados
• Establecer limites de frecuencia para
la publicación de comentarios para
evitar abuso
RECOMENDACIONES:
• Implementar límites de solicitud por
usuario o IP para evitar consultas
masivas y abusivas
• Utilizar almacenamiento en caché y
técnicas de optimización para reducir
carga en el servidor
• Monitorear el tráfico de la API y
ajustar los límites de solicitud según
sea lo necesario
CONTROLAR PATRONES NO HUMANOS
OWASP Automated Threats to Web Applications
Este proyecto de OWASP nos ayuda a identificar amenazas automatizadas que van dirigidas a las
API’s de las aplicaciones web y móviles. https://owasp.org/www-project-automated-threats-to-web-applications/
Proporciona 21 de controles y de seguridad identificados y que nos ayuda con recomendaciones
de defensa contra estos ataques automatizados.
1: Agregación de cuentas
2: Creación de cuentas
3: Fraude publicitario
4: Omisión de CAPTCHA
5: Descifrado de tarjetas
6: Carding
7: Retirada de activos
8: Descrifado de credenciales
9: Cerdential Stuffing
10: Denegación de inventarios
11: Denegación de servicio (DoS)
12: Agilización
13: Toma de huellas dactilares
14: Toma de huellas
15: Acaparamiento de inventario (Scalping)
16: Scraping o raspado
17: Sesgo
18: Sniping
19: Envío de Spam
20: Descifrado de tokens
21: Exploración de vulnerabilidades
GRACIAS
GRACIAS
POR SU
POR
SU
ATENCION
Hola Carlos Castro,
URBANO ENVIOS te informa que
tenemos una entrega para ti,
correspondiente a Diners Club con
número de guía 58489459.
La dirección de entrega que tenemos
registrada es Av. 10 de agosto N36-31 y
Colón en la ciudad de Quito.
Para el retiro en nuestra agencia marca
1
Para la entrega por uno de nuestros
motorizados marca 2
ATENCIÓN
Descargar